2016年7月27日。Kaspersky Labが初めて実施するReddit AMA(何か質問ある?)セッションの日です。参加メンバーは、当社グローバル調査分析チーム(GReAT)のコスティン・ライウ(Costin Raiu)、ヴィセンテ・ディアス(Vicente Diaz)、ヴィタリー・カムリュク(Vitaly Kamluk)、ライアン・ナレイン(Ryan Naraine)、ブライアン・バーソロミュー(Brian Bartholomew)、ファン・アンドレス・ゲレーロサーデ(Juan Andrés Guerrero-Saade)。この日は朝から目まぐるしくチャットが飛び交い、着々と準備が進んでいました。
私たちは質問スレッドのリンクを作成し、メンバー全員がオンライン状態であることを確認してから、チャット開始のボタンを押しました。どんな人が来るのか、何を訊かれるのか、…なんといってもAMAセッションですから。質疑応答はボストン時間の朝9時から1時間半ほどの予定でしたが、ふたを開けてみれば、最後の質問に答え終わったのは午後1時28分過ぎ。これほど長く、これほど夢中になるとは予想外でした。
セッション中、このスレッドに書き込まれたコメントは(GReATからの回答も含めて)855件を超え、テレビ番組の話題から、APTの犯人の特定がセキュリティリサーチャーにとって難しい理由まで、バラエティに富んだやり取りが繰り広げられました。当社に好意的な人々がいて、荒らしがいて、記者や、この業界に飛び込もうとしている人たちからも、質問が投げかけられました。GReATのメンバーは4時間余りにわたって、洞察に満ちた率直なコメントを返し続けました。まさに、どんなことについても。
RedditのAMA(何か質問ある?)セッションに、当社の調査分析チーム(GReAT)の精鋭4名が登場します。セキュリティエキスパートに直接質問しよう!本日7/27、22時より> https://t.co/nSnoHbVVDX pic.twitter.com/NriONNQj3h
— カスペルスキー 公式 (@kaspersky_japan) July 27, 2016
参加メンバーに気に入った質問を1つ選んでもらったとしたら、答えは1人1人違うでしょうし、1つに決めかねる人も出ることでしょう。私もやってみましたが、なんとか6つ(順不同)まで絞るので精一杯でした。ということで、私が独断と偏見で選んだ質疑応答と、印象に残った理由をご紹介します。
1. 「誰が犯人か」
まずは、特にエッジの効いた質問からいきましょう。セキュリティリサーチャーによるレポートの多くで「誰がやったのか」が明示されない理由について、多くが語られています。この質疑応答は、セッションの早い段階で交わされました(実際2回ありました)。この質問がこれで落ち着くことを願っています。
Q. DNC(米民主党全国委員会)への攻撃やStuxnetのようなハッキングの黒幕を特定するためにメタデータなどのデータをどのように利用できるのか、技術者でなくてもわかるように説明してもらえますか?カスペルスキーのような企業が攻撃元を正確に特定可能であるためには、何を変更されてよくて、何を変更されてはいけないのでしょうか?
ブライアンとファン:重要な質問です。そして、詳しい回答が与えられることはめったにない質問ですね。詳しい回答がなされない理由の1つは、犯人や攻撃の出所を特定するのに何を判断材料とするのかが知られると、まさにそのデータを相手が操作するようになってしまうからです。偽装や操作ができないものは、ほとんどありません。そのため、犯人や攻撃元の特定をめぐって業界内で議論が白熱したりするのです。
攻撃元の特定に使われる要素としては、コード内で使われている言語、マルウェアがコンパイルされた日時、攻撃の背後にある動機、標的の種類、攻撃時に使用されたIPアドレス、攻撃後のデータ送信先などが一般的なように思われます。攻撃元または犯人の身元を議論する中では、これら要素のすべてが一種の「マトリクス」の中で使われます。たとえばDNCに対する攻撃を例に取ると、この攻撃に使用されたマルウェアと一部の攻撃インフラは2つの「グループ」だけに帰属する、との点で多くのエキスパートの意見が一致しています。
Q. Kaspersky Labのリサーチャーの皆さん、こんにちは。
皆さんが攻撃元の特定を避ける方針であることはわかりますが、国家レベルの標的型攻撃のほとんどが、いわゆるサイバー大国(米国、英国、ロシア、中国、イランなど)から実行されているらしいことは明らかに見えます。この質問を進めるために、攻撃元特定の指標となる要素が現実を反映していると仮定しましょう。途上国や未開発国による国家レベルのハッキング活動をほとんど目にしないのは、なぜでしょうか?リモートアクセスツールや侵入成功後に使うツールが安価に、または無料で入手できるようになって、サイバースパイ活動の機会はどの国にも平等にあるように思えるのですが。
ヴィセンテ:その仮定に従うならば、サイバー攻撃に費やすリソースを豊富に持つ国が最も活発に活動するということになり、あなたが挙げた国々と一致します。だからと言って、開発途上国がこのような活動に関与していないということにはなりません。ただ、自国で大々的に「サイバー能力」を培うよりも安く済むことから、これらの国々は国外のリソースを使うことが多々あるのです。そういう場合、攻撃元の特定はさらに難しくなります(一般的な武器を使わずに高度な武器を独自開発する、という話とは違います)。
また、「メディアの消耗」も考慮したほうがよいでしょう。これも、サイバー攻撃活動に関する情報発信を、残念ながら限定している1つの要因かもしれません。小国が近隣の小国を標的にした活動が発見されたとしても、それに関する記事を主要メディアで目にすることはほぼないでしょう。
2. セキュリティ侵害に対する政府の役割
Kaspersky Dailyの読者ならご存じだと思いますが、当ブログではハッキングやセキュリティ侵害に関する記事をたびたび掲載してきました。当社のSNSには、こうした記事をご覧になった方から「安全でいるためにはどうすればいいのか?」という質問が数多く寄せられています。今回のAMAでも、この質問が再び登場しました。
Q. セキュリティ侵害はすぐになくなりそうにありません。米国政府がCyber Incident Severity Schema(サイバーインシデントの重要度分類)を定義するほどの状況です。政府がこの問題にどのように取り組むことができるのか、政府は民間セクターに関与すべきではないのか、考えを聞かせていただけますか?
ファン:これは、難しい質問ですね。この問題への取り組みにおいて、政府は間違いなく大きな役割を担っています。さらに重要なことですが、一部の取り組みは、ある意味、政府でなければできません。たとえば「逆ハッキング」についての議論がありますが、公共部門の力が及ぶ範囲を超えない方がいいと、個人的には考えています(いわゆる、国家の「暴力の独占」の拡大版なわけですから)。攻撃元の特定が職人芸レベルにあって確実な特定がほぼ不可能な場合には、特定の政府機関に逆ハッキングの行使をすべて任せたいと考えます。
政府がすぐにできることといえば、思い浮かんだことを2つ挙げます。
- ランサムウェアのような非常に厄介なタイプのマルウェアを撃退するには、民間セクターと法執行機関の協力が不可欠です。暗号化に欠陥がない場合、一番よいのは、法執行機関の協力のもとでC&Cサーバーを差し押さえることです。そうすれば、攻撃に遭った人たちのために復号用のソフトやサービスを開発することができます。私たちではサーバーを差し押さえることができないので、権限を伴ったオープンな協力が重要になります。
- 情報共有の取り組みには大きな効果が期待できますが、本当に重要なセクターによる取り組みは十分ではありません。たとえば金融、医療などのセクター、また、テクノロジー分野の特定の専門セクターも含めた取り組みですね。これらセクターは専門知識/技能を必要としていますが、ハッキングや法的影響の可能性を恐れて共有できない、または共有すべきではないと感じていることがしばしばです。ここに政府機関が介入して、企業同士が連絡を取り合い、知っていることや懸念事項を共有し、必要な助けを得られるような安全な場所を用意してくれたら素晴らしいですね。
3. 「Mr. Robot」
当社のソーシャルメディアチームや北米オフィスの同僚たちの間では、テレビドラマ『Mr. Robot』(ミスター・ロボット)がよく話題にのぼります。このドラマのテーマを考えれば当然ですが。GReATのリーダーであるコスティン・ライウと、ファン・アンドレス・ゲレーロサーデが質問に答えました。
Q. もし『Mr.Robot』を観ているなら、このドラマで実際のITセキュリティとハッキング現場がどの程度忠実に描写されているか、0~10点で評価してください。
コスティン:堂々の9.5点ですね。ほとんどのシーンがトップクラスですし、ツールやOSの使い方も、ソーシャルエンジニアリングから運用上のセキュリティにいたる細々としたディテールも、よくできています。とてもリアルなシーンのいくつかには、特に愉しませてもらいました。侵入されたビットコイン銀行を何とか復旧させようとするあわれな開発者だとか、駐車場でのUSBメモリ攻撃だとか。
ファン:シーズン1しか観ていないんですが、びっくりするほど良くできたハッキング描写がいくつかありました。特によかったのは、きちんと準備してあればこれだけ素早くスマートフォンにバックドアを仕掛けられる(シャワーを浴びる時間より早い)、という描写です。
4. 4つの質問
質問者は、AMAセッションを予告したTwitterの #ASKGReAT スレッドでテンションが高かった1人です。AMAのリンクを通知したときにもその興奮は続いていて、本人曰く、けっこういい質問をしたと思う、とのことです。実際、いい質問は4つありました。
Q.
1) システムに侵入されてしまったら、暗号化メールサービスを使ってもどうしようもないんですよね?
2) AndroidデバイスでGmailアカウントに接続しなければならない(そしてGoogleによってデータが収集される)ときに、プライバシーを守りながらAndroidデバイスを安全に使うには?
3) Android用のメッセンジャーの中で、実際に使用していて、データを収集しないことがわかっているものはありますか?
4) ITセキュリティにすごく関心があるのですが、専門知識はありません。私のような一般ユーザーがより安全でより自由なインターネットに貢献するには?
ファン:こんにちは!了解です、ではいきましょう。
- 最初の質問、いいですね。私たちが「情報セキュリティ問題」の最も重要な側面に取り組んでいる理由を、改めて認識させてくれます。一言で答えるなら、おっしゃるとおりです。エンドポイントに侵入されてしまったら、暗号化メールサービスを使っても本質的な解決にはなりません。もう少し詳しく言うと、暗号化メール(PGPなど)のおかげで送信中のメールまたは送信者/受信者の受信箱にあるメールが読まれない、という事実は変わりませんが、マルウェアを使う攻撃者からデバイスを守ることはできません。セキュリティ製品は、往々にして、エンドポイントのセキュリティが侵害されていないことを前提に構築されています。ですから、デバイスを保護するためのソフトウェアの設計とサポートは些細なことではないわけで、それ故に、私たちは情報セキュリティの重要な部分を担っていると言えるのです
- まだ先は長いので、どんどんいきましょう。Androidはセキュリティ確保が難しいプラットフォームです。プライバシーについて言うなら、問題の出所は、サードパーティアプリが過剰に求める権限や、必要とあらばどんな情報も勝手に持っていく「ゲーム」であることがほとんどです。(私に言わせれば)Gmailの統合そのものよりも、こっちの方が心配です。
- メッセンジャーについてですが、私たちは「安全な」メッセンジャーをあれこれ試したりしています。私は暗号化やその実装を審査する立場にはありませんが、私も含め何人かはWireをテストしています。SilentText、Signal、Threema、Wickrなども、長年のお気に入りです。ただし、これらのアプリがデータを収集しないとは断言できません。開発元に訊いてみてください。
- ご自分のアカウントを保護してください!パスワードマネージャーや2段階認証を使用しましょう。攻撃者は、アカウントを見かけたらさまざまなことを仕掛けてきます。
5. Pokémon Go(ポケモンGO)
社会現象となっているPokémon Go(ポケモンGO)については、Kaspersky Dailyにも記事があります。AMAでは、このゲームについての質問が寄せられました。というわけで、取り上げないわけにはいかないでしょう、これは。
Q. 皆さんはポケモンなどのゲームをすることはありますか?MMORPG(大規模多人数同時参加型オンラインRPG)は好きですか?
ファン:GReATにも、ポケモンGOをプレイしている人は確実にいます。特に、隠れIngressファンの中に何人かいるのは間違いないですね。私自身はあまりゲームをする時間がないのですが、『スタークラフト2』や『デスティニー』が好きです。ブライアンと私はXboxで『オーバーウォッチ』をプレイしています。それと、3DSの『ゼルダの伝説 神々のトライフォース2』を、ゆるゆると進めようかなと。あちこちの空港のラウンジでね…
ブライアン:ポケモンは時々やりますよ(笑)。妻がいやがるので、正直、隠れプレイヤー状態です。スーパーに行って、買い物中はスマートフォンを隠し持って歩き回ろうと思っています。この他には、今は時間があるときに『Overwatch』をプレイしています。その前は『Fallout 4』をやり切りました!僕はゲーム機派です。PCゲーム礼賛派は居ません、個人的な意見ですが。
コスティン:ポケモンGOはやりませんが、『EVE Online』はプレイしています。Minmatar最高(笑)
ヴィセンテ:『ストリートファイターIV』の大ファン、『Street Fighter V』にはガッカリ、時々『StarCraft 2』のプレイヤーです。『Mass Effect』の新作が待ち遠しいです。
ヴィタリー:僕の仕事がビデオゲームです。ものすごくリアルな、3Dオープンワールドの、予想外の展開と解決すべきハードな問題のあるやつです。
6 Androidのセキュリティ
Androidプラットフォームは、一般ユーザーだけでなく、詐欺を働く人々にも人気です(私のスマートフォンの1台はAndroidで、カスペルスキー インターネット セキュリティfor Androidがインストールされています)。このプラットフォームを頭から信用せず、この数字を見てみてください。同じ質問が繰り返されないようにとの意味でも、この質問が挙がってよかったと思います。
#KSN #Report: #Mobile ransomware in 2014-2016 https://t.co/zmvSlscN0X #klreport pic.twitter.com/mxDUxrnIJe
— Securelist (@Securelist) June 29, 2016
Q. Androidスマートフォンに、ウイルス対策アプリをインストールすべきですか?ウイルスやマルウェアは、モバイルデバイスにとっても本当に脅威になるのですか?
コスティン:思うに、モバイルマルウェアは氷山のようなもので、見えていない部分がおそらく大量にあることでしょう。Androidを狙った悪意あるプログラムの数は、この数年で急増していますが、そのほとんどはアドウェアや画面ブロッカーです。Equationのような高度なAPTを対象とした当社の分析では、多くの脅威の首謀者がモバイルプラットフォームへの埋め込みモジュールを開発していることが示唆されています。ということは、たとえば当社がHackingTeamのモバイル埋め込みモジュールを発見したように、そうしたモジュールが遅かれ早かれ見つかるということです。Androidデバイスでセキュリティ製品を稼働させておけば、今わかっている脅威から保護できるだけでなく、新しい脅威を検知できる可能性もあります。
Q. では、今のところの予測・直感はどうですか?
私が集めたデータからいくと、Androidを狙ったマルウェアは主にサードパーティのストアから広がっています。Googleは、Google Playストアをクリーンな状態に保っています。
しかし、最新バージョンにアップデートされていないAndroidスマートフォンは膨大な数にのぼります(私たちユーザーの安全を保つために素晴らしい仕事をしてくれている製造元各社のおかげで)。誰かがStagefrightを悪用してMMSを世界中の人に送ったがために、1日で大規模な感染が起こるような事態を、私たちはいずれ目にすることになると思いますか?
それから、APT(Equation)について言及されましたが、これは不特定のAndroidユーザーにとって本当の脅威なのでしょうか、それともVIPにとってだけなのでしょうか?
コスティン:私が一番心配しているのは、Android向け「フリーウェア」で広告ライブラリが無制御に使われることです。たとえば、インターネット接続を求める懐中電灯アプリがありましたね。現代では、標準化された広告ライブラリに紐付くアプリがあまりにも多くて、開発者はここから手っ取り早く稼ぐことができる仕組みになっています。こういったライブラリを開発する企業の多くは次々と買収され、かつて無害だった広告ライブラリは、ある日突然、何万台ものスマートフォンに対する巧妙な攻撃の入口と化すかもしれません。将来的には、何者かが広告ライブラリの作成企業を買収し、悪意あるコードを埋め込んでライブラリをトロイの木馬化するようになると考えています。格段に安価な手口で標的に侵入できますし、手の込んだゼロデイエクスプロイトも必要ありませんから。
Stagefrightのようなものを悪用した大規模な攻撃は、まったくあり得ないわけではありませんが、最近の状況を見る限り、最も効果的な攻撃は国家によるもので、こちらはもっと的を絞った手口を好みます。
————
今回は私が選んだGReAT AMAでの質問トップ6を紹介しましたが、いかがでしたか?足りないもの、余分なものはありませんでしたか?当社のFacebookまたはTwitterアカウントまでご意見をお寄せください。そして、初めてのAMAにお付き合いいただきありがとうございました。GReAT(およびカスペルスキーの全スタッフ)より、御礼申し上げます。
https://www.instagram.com/p/BIYNiObgc5U/